{"id":228043,"date":"2020-02-10T01:07:48","date_gmt":"2020-02-10T00:07:48","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=228043"},"modified":"2020-02-10T10:07:54","modified_gmt":"2020-02-10T09:07:54","slug":"windows-server-2016-chaos-bei-freigaben-ordnern-und-berechtigungen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/02\/10\/windows-server-2016-chaos-bei-freigaben-ordnern-und-berechtigungen\/","title":{"rendered":"Windows Server 2016: Chaos bei Freigaben, Ordnern und Berechtigungen?"},"content":{"rendered":"

Blog-Leser Andreas L. hat mich auf ein Problem bei Windows Server 2016 aufgemacht, auf welches er gesto\u00dfen ist. Es gehe um Freigaben im Netzwerk und deren Berechtigungen.<\/p>\n

<\/p>\n

\"\"Andreas hat mich vor einigen Tagen per Mail kontaktiert und schrieb: Ich bin seit einiger Zeit eifriger Leser Ihres Blogs, und nun habe ich selbst mal ein kurioses Problem das Interessant zu sein scheint<\/em>. Ich stelle es mal hier im Blog ein, da es vielleicht f\u00fcr mehr Administratoren von Windows Server 2016 relevant sein k\u00f6nnte. <\/p>\n

Darum geht es<\/h2>\n

Andreas betreibt einen Windows Server 2016 in einer Windows Dom\u00e4ne, auf dem er Freigaben erstellt. Dazu schreibt er: <\/p>\n

\n

Ich habe auf einem Windows Server 2016 in einer Windows Dom\u00e4ne die Freigabe eines Ordners, auf den haben alle Dom\u00e4nen-Benutzer \"Nur lesenden\" Zugriff (Lesen, Ausf\u00fchren; Ordnerinhalt anzeigen; Lesen). Der zu Grunde liegende Ordner im Dateisystem (D:\\Oberster_Ordner) der freigegeben wird, hat f\u00fcr alle Dom\u00e4nen-Benutzer die Berechtigung \"Ordnerinhalte auflisten\".<\/p>\n<\/blockquote>\n

Damit soll sichergestellt werden, so schreibt Andreas, dass die Benutzer, die diese Freigabe verbunden bekommen, nur die Ordner sehen, f\u00fcr die sie auch berechtigt sind. Alle anderen Ordner sollen ausgeblendet werden. Er gibt die Struktur der Ordner folgenderma\u00dfen an: <\/p>\n

\n

Oberster_Ordner = Freigabe als \\\\<server>\\Oberster_Ordner, Dateisystem D:\\Oberster_Ordner <\/p>\n

  Unterordner1 <\/p>\n

  Unterordner2 <\/p>\n

Berechtigungen: <\/p>\n

Ordner      D:\\Oberster_Ordner = Dom\u00e4nen-Benutzer = eingeschr\u00e4nktes Nur Lesen (Ordnerinhalt anzeigen) <\/p>\n

Freigabe    \\\\<server>\\Oberster_Ordner = Dom\u00e4nen-Benutzer = Nur Lesen (Lesen, Ausf\u00fchren; Ordnerinhalt anzeigen; Lesen) <\/p>\n

Ordner      D:\\Oberster_Ordner\\Unterordner1 = Benutzer1 (\u00c4ndern)
Ordner      D:\\Oberster_Ordner\\Unterordner2 = Benutzer2 (\u00c4ndern)<\/p>\n<\/blockquote>\n

Unterschiedliches Verhalten bei Server 2008 R2 und 2016<\/h2>\n<\/p>\n

Andreas hat dieses Verhalten einmal mit Windows Server 2008 R2 und einmal mit Windows Server 2016 durchprobiert und ist auf unterschiedliche Ergebnisse gesto\u00dfen. <\/p>\n

KORREKTES<\/b> Ergebnis mit Freigabe auf Windows Server 2008 R2 oder QNAP NAS-System (aktueller Stand, jeweils mit Dom\u00e4nenanbindung): <\/p>\n

\n

Wird nun f\u00fcr die beiden Benutzer die Freigabe als Laufwerk verbunden (net use u: \\\\<server>\\Oberster_Ordner), dann kann Benutzer 1 nur den Unterordner1 sehen, und Benutzer2 nur den Unterordner2. Die Benutzer k\u00f6nnen auch in den sichtbaren Ordnern \u00c4nderungen (Dateien hinzuf\u00fcgen, l\u00f6schen, etc.) durchf\u00fchren ohne eine Fehlermeldung zu erhalten. Also ist alles genau so wie es erwartet wird.<\/p>\n<\/blockquote>\n

INKORREKTES<\/b> Ergebnis mit Freigabe auf Windows Server 2016 (aktueller Stand mit Dom\u00e4nen-Anbindung): <\/p>\n

\n

Wird nun f\u00fcr die beiden Benutzer die Freigabe als Laufwerk verbunden (net use u: \\\\<server>\\Oberster_Ordner) dann sehen beide Benutzer die beiden Ordner, k\u00f6nnen aber nur jeweils in den Ordner gehen f\u00fcr den sie berechtigt sind. Bei dem nicht berechtigten Ordner erhalten Sie beim Zugriff eine Fehlermeldung.<\/p>\n<\/blockquote>\n

Aber noch seltsamer ist, schreibt Andreas: Obwohl die jeweiligen Benutzer \u00c4nderungsberechtigung auf ihre Ordner haben (in den Ordnerberechtigungen), k\u00f6nnen Sie in diesen Ordnern kein \u00c4nderungen (Dateien hinzuf\u00fcgen, l\u00f6schen, etc.) vornehmen. Die Benutzer erhalten immer nur Fehlermeldungen das der Zugriff verweigert wird. <\/p>\n

\n

Und nun das Kuriose, wenn ich in der Freigabe die Berechtigung von Lesen (Lesen, Ausf\u00fchren; Ordnerinhalt anzeigen; Lesen) auf \u00c4ndern (\u00c4ndern; Lesen, Ausf\u00fchren; Ordnerinhalt anzeigen; Lesen; Schreiben) \u00e4ndere, dann k\u00f6nnen die Benutzer auch in dem f\u00fcr sie berechtigten Ordner \u00c4nderungen vornehmen. Die weiteren Nebenwirkungen habe ich nicht weiter getestet.<\/p>\n<\/blockquote>\n

Andreas schreibt dazu: Es macht so den starken Eindruck das die Freigabeberechtigungen seit einiger Zeit nicht nur f\u00fcr die Freigabe an sich gelten, sondern das diese auch \u00fcber die darunter liegende Ordnerstruktur nach unten virtuell vererbt werden und so die eigentlichen Ordnerberechtigungen einschr\u00e4nken. Au\u00dferdem scheint die Auflistung von Inhalten nicht mehr von einer Berechtigung abh\u00e4ngig zu sein so das man alle Ordner sieht. <\/p>\n

Er kann das Ganze \u00fcber mehrere in der Dom\u00e4ne verf\u00fcgbare Windows Server 2016 nachvollziehen, das Ergebnis sieht immer gleich aus. Andreas schreibt, dass er dieses Verhalten aber nicht mit irgendeinem Update in Verbindung bringen kann ( jedenfalls nicht ad hoc). Andreas fragt: Ist das nun eine gewollte \u00c4nderung die Microsoft in den letzten Updates eingef\u00fchrt hat oder ist das ein Bug?<\/p>\n","protected":false},"excerpt":{"rendered":"

Blog-Leser Andreas L. hat mich auf ein Problem bei Windows Server 2016 aufgemacht, auf welches er gesto\u00dfen ist. Es gehe um Freigaben im Netzwerk und deren Berechtigungen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2557],"tags":[24,4380],"class_list":["post-228043","post","type-post","status-publish","format-standard","hentry","category-windows-server","tag-problem","tag-windows-server-2016"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/228043","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=228043"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/228043\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=228043"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=228043"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=228043"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}